- Se ISO 27002:2022 Kontroll 8.26 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 14.1.2 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 14.1.3 for mer informasjon.
Forstå ISO 27001:2022 vedlegg A 8.26 – Essentials for Application Security
Applikasjonsprogramvare som nettapper, grafikkprogrammer, databaser og betalingsbehandling er avgjørende for mange forretningsoperasjoner.
Applikasjoner er ofte sårbare for sikkerhetsproblemer som kan føre til eksponering av konfidensielle data.
Som et eksempel, unnlot det amerikanske kredittbyrået Equifax å bruke en sikkerhetsoppdatering på nettapplikasjonsrammeverket de brukte for å behandle kundeklager. Denne forsømmelsen gjorde det mulig for cyberangripere å utnytte sikkerhetssvakhetene til nettapplikasjonen, infiltrere Equifax sine bedriftsnettverk og stjele sensitiv informasjon fra rundt 145 millioner mennesker.
ISO 27001:2022 vedlegg A 8.26 skisserer hvordan organisasjoner kan implementere og implementere informasjonssikkerhet krav til applikasjoner under utvikling, bruk og anskaffelse. Det sikrer at sikkerhetstiltak er integrert i livssyklusen til applikasjoner.
Formål med ISO 27001:2022 vedlegg A 8.26
ISO 27001: 2022 Vedlegg A 8.26 tillater organisasjoner å forsvare sine dataressurser lagret på eller behandlet av applikasjoner gjennom gjenkjennelse og anvendelse av passende informasjonssikkerhetsspesifikasjoner.
Eierskap til vedlegg A 8.26
Ocuco Sjef for informasjonssikkerhet, støttet av informasjonssikkerhetseksperter, bør påta seg identifisering, godkjenning og implementering av informasjonskrav knyttet til anskaffelse, bruk og utvikling av applikasjoner.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Generell veiledning for ISO 27001:2022 vedlegg A 8.26 Samsvar
Organisasjoner bør gjennomføre en risikovurdering for å etablere nødvendige informasjonssikkerhetskrav for en bestemt applikasjon.
Innhold og typer informasjonssikkerhetskrav kan variere avhengig av applikasjonen, men disse bør dekke:
- Basert på ISO 27001:2022 vedlegg A 5.17, 8.2 og 8.5, tillitsnivået som er tildelt en spesifikk enhets identitet.
- Klassifisering av informasjonsmidlene som skal lagres eller håndteres av programvaren må identifiseres.
- Er det nødvendig å skille tilgang til funksjoner og data som er lagret på appen.
- Vurder om applikasjonen er robust mot cyberpenetrasjoner som SQL-injeksjoner eller utilsiktede avlyttinger som bufferoverflyt.
- Juridisk må regulatoriske og lovpålagte krav og standarder oppfylles når man håndterer transaksjoner behandlet, generert, lagret eller fullført av appen.
- Personvern er av største betydning for alle involverte.
- Det er viktig å sikre at konfidensielle data ivaretas.
- Det er viktig å sikre sikkerheten til informasjon når den brukes, overføres eller lagres.
- Det er viktig at alle relevante parter har sikker kryptering av kommunikasjonen deres hvis nødvendig.
- Implementering av inndatakontroller, som å validere inndata og utføre integritetskontroller, garanterer nøyaktighet.
- Utføre automatiserte kontroller.
- Sikre at tilgangsrettigheter, samt hvem som kan se utdata, tas i betraktning for utdatakontroll.
- Det er viktig å pålegge grenser for hva som kan inkluderes i "fritekst"-felt for å beskytte mot utilsiktet distribusjon av konfidensiell informasjon.
- Regulatoriske krav, for eksempel de som styrer logging av transaksjoner og ikke-avvisning.
- Andre sikkerhetskontroller kan kreve overholdelse av spesifikke krav; for eksempel datalekkasjedeteksjonssystemer.
- Hvordan organisasjonen din håndterer feilmeldinger.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Veiledning om transaksjonstjenester
ISO 27001:2022 vedlegg A 8.26 krever at organisasjoner vurderer følgende syv anbefalinger når de tilbyr transaksjonstjenester mellom seg selv og en partner:
- Graden av tro hver part trenger å ha på den andres identitet er avgjørende i enhver transaksjon.
- Troverdigheten til data som sendes eller behandles må sikres, og et egnet system for å gjenkjenne eventuelle integritetsmangler, inkludert hashing og digitale signaturer, må identifiseres.
- Selskapet må sette opp et system for å bestemme hvem som er autorisert til å godkjenne, signere og signere på kritiske transaksjonsdokumenter.
- Sikre hemmelighold og nøyaktighet av viktige dokumenter, og verifisere overføring og mottak av nevnte dokumenter.
- Ivaretakelse av konfidensialitet og nøyaktighet av transaksjoner, kan dette være bestillinger og fakturaer.
- Krav til hvordan transaksjoner skal forbli konfidensielle i en spesifisert tidsperiode.
- Kontraktsforpliktelser og forsikringskrav må oppfylles.
Veiledning om elektroniske bestillings- og betalingsapplikasjoner
Organisasjoner bør vurdere følgende når de integrerer betalings- og elektroniske bestillingsmuligheter i applikasjoner:
- Det er viktig å sikre konfidensialitet og integritet til ordreinformasjon.
- Etablere et passende nivå av bekreftelse for bekreftelse av betalingsinformasjonen gitt av en kunde.
- Unngå feilplassering eller replikering av transaksjonsdata.
- Sørg for at informasjon knyttet til informasjon holdes unna et offentlig tilgjengelig område, f.eks. et lagringsmedium som befinner seg på organisasjonens intranett.
- Når en organisasjon er avhengig av en ekstern myndighet for å utstede digitale signaturer, må den sørge for at sikkerheten er integrert gjennom hele prosessen.
Veiledning om nettverk
Når applikasjoner åpnes via nettverk, kan de bli utsatt for kontraktsmessige uenigheter, uredelig oppførsel, feilføring, ikke-godkjente endringer av innholdet i kommunikasjonen eller konfidensialiteten til sensitive data kan bli brutt.
ISO 27001:2022 vedlegg A 8.26 råder organisasjoner til å gjennomføre grundige risikovurderinger for å identifisere passende kontroller, for eksempel kryptografi, for å beskytte sikkerheten til informasjonsoverføringer.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Endringer og forskjeller fra ISO 27001:2013
ISO 27001:2022 vedlegg A 8.26 erstatter ISO 27001:2013 vedlegg A 14.1.2 og 14.1.3 i den reviderte 2022-standarden.
Det er tre store forskjeller mellom de to versjonene.
Alle applikasjoner vs applikasjoner som går gjennom offentlige nettverk
ISO 27001:2013 skisserer en liste over informasjonssikkerhetskrav som skal tas i betraktning for applikasjoner som skal overføres via offentlige nettverk.
ISO 27001:2022 vedlegg A 8.26, derimot, gir en liste over informasjonssikkerhetskrav som gjelder for alle applikasjoner.
Ytterligere veiledning om elektroniske bestillings- og betalingsapplikasjoner
ISO 27001:2022 vedlegg A 8.26 gir spesifikk veiledning om elektroniske bestillings- og betalingsapplikasjoner, noe som ikke ble behandlet i 2013-versjonen.
Krav til transaksjonstjenester
Mens 2022-utgaven og 2013-utgaven er nesten like når det gjelder forutsetninger for transaksjonstjenester, introduserer 2022-utgaven et ekstra krav som ikke er vurdert i 2013-utgaven:
- Organisasjoner bør huske på kontraktsmessige forpliktelser og forsikringsbestemmelser.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Hvordan ISMS.online Hjelp
ISMS.online er et skybasert system som hjelper organisasjoner med å demonstrere samsvar med ISO 27001:2022. Dette systemet kan brukes til å overvåke ISO 27001-kravene, for å sikre at organisasjonen din forblir i samsvar med standarden.
Våre plattformen er brukervennlig og tilgjengelig for alle. Det krever ikke komplisert teknisk kunnskap; alle i virksomheten din kan bruke den.
Kontakt oss nå for å planlegge en demonstrasjon.